APT研究二进制安全C/C++汇编 [2022]疑似对红队C2的投毒 2022 6月17日的时候,github上莫名其妙的出现了这个项目:  https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch 阅读全文 2022-10-22 huoji 1 条评论
系统安全工具软件二进制安全 [2021]AppDomainManager劫持与powershell hook解码 在红队渗透中,有一种持久化技术经常被使用,那就是AppDomainManager劫持,具体原理本章不再叙述,简单来说,在.net目录新建一个同样文件的.config文件,就可以控制.net的appdomainmanger加载,攻击者往往利用这个特性做后门 ```asp <?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/> </startup> <runtime> <appDomainManagerType value="DomainManager.InjectedDomainManager" /> <appDomainManagerAssembly value="DomainManager, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" /> </runtime> </configuration> ``` 在安全产品对抗中,安全产品时刻面临着powershell的挑战原因很简单,powershell这玩意,简直是小黑和apt组织狂喜,各种花里胡哨的加密与解密去绕过edr/av,并且微软的amsi接口也各种拉胯,甚至是可以被powershell自己绕过,所以就不能指望微软了,要自己干 -powershell的hook ### 如何获取干净的powershell指令 powershell本质上是基于.net的解释器,在powershell脚本代码执行后,会被编译成il代码继续执行,因此为了解决powershell被混淆的问题,我们需要想办法hook powershell的编译代码,好消息是微软的.net相当于开源,所以很快就能找到这个函数: ```asp System.Management.Automation.CompiledScriptBlockData ```  顺便吐槽一下微软的amsi:  ### 如何hook 在我们劫持了AppDomainManager启动后,我们需要干的第一件事就是监听程序集加载: ```cpp private const BindingFlags anyType = BindingFlags.Static | BindingFlags.Instance | BindingFlags.Public | BindingFlags.NonPublic; private static readonly AssemblyLoadEventHandler HookAssemblyLoadEventHandler = new AssemblyLoadEventHandler(Rm_OnAssemblyLoad); private static void Rm_OnAssemblyLoad(object sender, AssemblyLoadEventArgs args) { string assemblyName = args.LoadedAssembly.GetName().Name; string assemblyFullName = args.LoadedAssembly.Location; if (assemblyName == "System.Management.Automation") { ...这里就是程序集加载事件了 ``` 之后,我们要得到此函数的指针  ```cpp MethodInfo ReallyCompile = targetMethodClass.GetMethod("ReallyCompile", anyType, null, targetMethodType, null); ... RuntimeHelpers.PrepareMethod(ReallyCompile.MethodHandle); ... IntPtr TargetAddress = ReallyCompile.MethodHandle.GetFunctionPointer(); ``` 然后hook他 ```cpp if (!MinHook.InstallHook(TargetAddress, HookAddress, TrampolineAddress)) { throw new ArgumentNullException("[HUOJI] Min Hook Fail"); //仅供测试,一般要return } ``` 至此,我们就hook了powershell并且拿到了正确信息: ```cpp public void HookReallyCompile(bool optimize) { string Code = this.ToString(); Helper.DbgPrint(Code); .... ```  阅读全文 2021-11-22 huoji 0 条评论
APT研究系统安全二进制安全 [2016]CVE 2016 1503分析 [cve-2016-1503 analysis.pdf](https://key08.com/usr/uploads/2021/06/3569149805.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全二进制安全 [2016]攻击JavaScript引擎 电子书 看这本书的时候,我注意到几点感兴趣的:  看起来2021年4月份的Chrome漏洞中的wasm指针利用技术很早很早就有提及了 包括攻击的手法  2021年4月份的Chrome漏洞的看起来作者看过这本书? [攻击JavaScript引擎.pdf](https://key08.com/usr/uploads/2021/06/3880401134.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全 [2021]windows威胁猎捕 (二) 继上一篇 [[2021]windows威胁猎捕 (一)](https://key08.com/index.php/2021/05/30/1118.html "[2021]windows威胁猎捕 (一)") 后,本篇介绍如下内容: 1.BloodHound检测 2.office宏后门检测 3.注册表可疑字符串检测 4.RDPWrapp劫持 5.系统时间变化 ## 1.BloodHound检测 BloodHound是一个域渗透分析工具.BloodHound以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在Red Team面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使Blue Team成员对己方网络系统进行更好的安全检测及保证域的安全性。 具体可看: https://www.freebuf.com/sectool/179002.html 特征: 别人扫你的时候,srvsvc、lsarpc、samr会有管道连接 检测: ETW ID为18的事件(pipe connect)和ETW ID为3的(network connect)事件中: > ipport:389 or ipport:636 and ipport:445 and filemod:srvsvc and filemod:lsass EventID-5145 and RelativeTargetName={srvcsvc or lsarpc or samr} 阅读全文 2021-06-05 huoji 0 条评论
